Na stranke
https://blog.nic.cz/2015/06/25/jak-jsme-si-nechali-naborit-router/
je dobry opis, ako sa utocnici naburavaju do modemov v domacnostiach.
Ja mam tiez pripojenie cez ADSL modem a napadla ma takato vec. Najviac sa bojim, ze mi niekto prestavi DNS a ked pojdem na stranku mojej banky… Tak ma napadlo, pouzivam Linux, instalujem ho aj vsetkym znamym a v adresari /etc/resolv.conf je IP adresa DNS servera. Samozrejme, teraz odkazuje na IP adresu adsl modemu – 192.168.1.1 Co keby som tam vpisal IP adresu DNS, ktoru ma moj poskytovatel ISP uvedenu na svojich strankach ako platne DNS servery ( Telekom ). Bol by som potom chraneny proti tomu, ze aj ked zmeni utocnik nastavenie DNS v modeme, moj pocitac pojde aj tak cez Telekom DNS server na stranku banky bez presmerovania k utocnikovy ?
Je dobre sa chranit ale niesi uz trosku paranoicky?
Ano som :)
ak mam raz kontrolu nad tvojim routrom, tak mam aj kontrolu na tvojim traffikom. To znamena, ze ja mozem presmerovat aj tak vsetky tvoje odkazy na dns server na moj dns server... man iptables ked chces vediet viac.
To je viac menej pravda.
Osobne odporúčam najnovší firmware, pretože fake DNS som už videl a staré routery sú plné dier, som schopný ich nazbierať do minúty niekoľko.
Odskúšal by som telnet, ftp a ssh či je prístupné zvonku, páč to je zlo nastavené spravidla s defaultnými prihlasovacími údajmi. Na Slovensku je takto prístupných asi 50% routrov bez vedomia majiteľa. Vypnutie vo webovom klikátku nič nerieši. Na začiatok by som aspoň zapol firewall v routry.
Nie, nebol. DNS požiadavky sú len jednoduché packety lietajúce cez UDP z klienta na zodpovedajúci DNS server kde s5 beží jednoduchá odpoveď. To sa dá presmerovať na útočníkov DNS server, a poskytovateľ s tým nič neurobí.
Teda, zhodou okolností by si bol chránený keďže tento typ útoku už dávno začal používať telekom v menšej miere. Jednoducho zvykol zobraziť stránku www.chyba.sk (či jak to bolo) pri neexistujúcej adrese (zrušený server alebo preklep) kde pchal klientom reklamu na svoje (ehm) portály.
Takže, ak to ešte nezrušili, tak si paradoxne chránený rovnakým rypom útoku akého sa bojíš.
Na test odpotučím dať resolving neexistujúcej stránky, napr.: www.gidsdajdgsajdsadgasj.sk, že čo to v sieti telekomu vráti.
Na vymyslenu stranku http://www.gidsdajdgsajdsadgasj.sk odpovedaju prehliadace ze stranka sa neda zobrazit, nevyskakuje ta t-com stranka. Ale minule som bol u jednych a tam sme nastavovali adsl modem a modem bez hesla zobrazi podobnu stranku, kde oznami uzivatelovi, ze treba nakonfigurovat modem...
Takže to už zrušili, konečne. Bolo na to naozaj dosť sťažností keďže to u elekomunistov slúžilo aj na nenápadnú cenzúru.
A to s tým presmerovaním ak nie je nastavené alebo registrované zariadenie? To s tvojou obavou moc nesúvisí. Jedná sa o niečo bežné, podobné ako je pri captive portáloch. I keď to používa identické techniky ako sú tie, ktorých sa obávaš. Ak chceš mať istotu, tak si kúp zariadenie ktoré má možnosť rebuildu zdrojákov ktoré si skontroluješ. Tie Asusy mali zverejnené zdrojáky aj s tou chybou.
sklamem ťa ale u nás stále vybehuje tá hnusná chyba.sk
Naviac som zistil, ze po restarte sa obsah resolv.conf prepise z mojej zapisanej adresy Telekomu 195.146.132.59 na povodnych 192.168.1.1. Da sa to nejak spravit, aby to bolo nastalo 195.146.132.59 ? Dalej co sa tyka tych otvorenych portov, ja mam na modeme otvorene porty 80 a 7547, no modem mojej mamy ma otvorene porty 21, 23, 80 a 1723. Vypnut tie otvorene porty nejde, tak ma napadlo, ak by som v modeme nastavil NAT, aby tieto porty tuneloval na adresu napr. 192.168.1.99, na ktorej samozrejme nijaky pocitac nie je, nepomohlo by to ? Lebo, ked som mal nastavene tunelovanie omylom na inu-zlu IP adresu ako bol PC mojej mamy, tak aj nmap hlasil pri skenovani portu, ze je blokovany alebo uzatvoreny, uz presne nepamatam... ?
Asi používaš Network Manager. Takže do súboru /etc/NetworkManager/NetworkManager.conf pridaj dns=none.
Stala sa zaujimava vec, najprv som to obisiel tak, ze som pod su root do crontab-u zadal
* * * * * echo "nameserver 195.146.132.59" >/etc/resolv.conf a potom tiez aj 195.146.128.60, co su IP adresy DNS, ktore uvadza Telekom na svojich strankach a prestal mi fungovat internet. Ked som tam dal 192.168.1.1 opat siel. Tak som tam zadal IP adresu DNS serverov, ktore su zahranicne a s tymi mi to uz funguje, stranky nabiehaju, sviznejsie... Co sa tyka adresara /etc/NetworkManager mam v nom adresar dispatcher.d a vnom 2 subory 00-netport a 05netfs. PCLinuxOS vychadza myslim z Mandrivy, ak sa nemylim...
Skus si tie DNS nastavit priamo v NetworkManager cez klikatko a pojde ti to.
ide ti :D :D :D
keby si si konecne precital aspon tie uplne zaklady zo sietovania (a linuxu vseobecne), tak by si sa tu tak nestrapnoval
a vsadim sa, ze nemas net od telekomu...
Mam net od orange a neveris ako rad by som si o tom nieco precital, no otrebujem to v slovencine alebo v cestine + polopate a k tomu trochu viac casu (na pochopenie :)
Ak len chceš force pre resolving na Tebou definované DNS servre, tak si tú lamu nemusíš všímať. Stačí si pozrieť či Ti distro berie do úvahy napr. /etc/resolvconf/resolv.conf.d/head. Alebo sa zariaď podľa rady Bedňu, vypni DNS v NM a nehaj si len svoj. Ten cron je dosť nesystémové riešenie. Keď Ti poskytovateľ z nejakého dôvodu zroluje DNS servre, tak sa budeš diviť prečo sa Ti tam pchajú staré servre.
Ale, zopakujem. Lepšie je mať router do ktorého si dáš vlastný FW mad ktorým máš kontrolu. Vtedy nemusíš riešiť takto humorné hasenie problémov.
tak ta lama to vam ostatnym lama vysvetli:
chlapec je totalne mimo (to sa uz ukazalo skor), ale toto ma uz dorazilo. sice net ma od orangu, ale on je technicky zdatny a vie, ze dsl poskytuje len telekom (ale uz nevie, ze len technicky), takze logicky net musi mat od telekomu. ale on ho nema, lebo ho ma od orangu.
router cez pppoe ziskal (spravne) dns servery (orangeacke) a potom robil dns forwardera pre klientov v lanke (cez dhcp im nastavil dns server na jeho vlastnu lan ip - klasika).
ale kedze chlapec sa boji, ze mu heknu jeho nahe fotky v maminych tangacoch a podpire, a kedze ma net od telekomu (lebo ma ten dsl router a dsl je predsa telekom), tak si tam nastavi dns servery telekomu. ale samozrejme tieto servery neresolvuju requesty z ne-telekom siete (a kedze ma net od orangu, tak ma aj ip z ich AS), tak mu logicky nefungovali.
a k tomu harakiri s cronom sa radsej ani nebudem vyjadrovat :D
takze plesaty, ked tomu nerozumies, tak chod dalej robit copy/paste z wikipedie...
Ja z teba raz umrem :D
Z povodnej otazky:
Pre Rada:
Tak potom ma samalama urcite pravdu.
no ved to bolo hned jasne...
Len pre info:
ns1.orange.sk : 213.151.200.30
ns2.orange.sk : 213.151.200.31
Ja som pouzil IP adresy OpenDNS
https://en.wikipedia.org/wiki/OpenDNS
Cosa tyka toho Telekom / Orange, hej to ma pravdu, ze Orange pouziva siet Telekomu (u nas este aj Slovanet, myslim aj SWAN, lebo optika u nas nie je).
Ale som rad ze sa "salama" - ako mu ja hovorim rozpisal :)
Ved nejak najdeme spolocnu rec...
(OpenDNS preto, ze na dsl.sk pisali, ze je aj od nas rychlejsi pristup aj cez Telekom/Orange....)
cim dlhsia cesta k dns serveru, tym vacsia sanca na utok...
Len teoreticky, čiže všetko väčšie ako jedna sa môže blížiť 100% zneužitiu. A čo ten DNS záznam od provajdera nemôže zneužiť tajná polícia nášho štátu?
No keď zabudneme že človek môže žiť aj bez DNS a pripojiť sa na IP priamo šifrovaným tunelom, tak v reálnom svete má na zneužitie najväčšiu šancu provajder na popud tajných služieb, alebo zamestnanec provajdera a čo tak lokálny provajder, to je ešte len tóčr.
No ja som na stranke orange.sk nenasiel ich DNS, tak som si myslel automaticky, ze pouzivaju Telekom DNS.... Moja chyba (ale inak som ich hladal, len....)
Tak teraz to skus urobit jak na zaciatku pisal bedna a hod tam tie Orange DNS-ka. Popripadne mzoes otestovat ci to je lepsie s OpenDNS este.
Hej, skusim ked dojdem domov a tu to je:
sice z r. 2007, ale funguje. A rychlost ja asi nebudem vediet zmerat...
http://www.dsl.sk/article.php?article=3178
Dovoľ mi zasmiať sa. Telekom nie je jediná firma ktorá poskytuje DSL. Zrejme si si nevšimol že glóbus neobsahuje len Slovenskú Republiku.
no ved vravim, ze co nie je na wiki, tomu nerozumies.
takze este raz si to cele pomaly precitaj...
Pardon, ale pre mňa nie je wikipédia dôveryhodný zdroj informácií. Ak máš na to iný názor, tak je to len tvoj problém.
http://www.ervin.sk/uvod-do-dns/
https://cs.wikipedia.org/wiki/Domain_Name_System
http://www.jakfungujedns.cz/
Cehuni ti to predostrili aj na videu.
Hm,
https://blog.nic.cz/2014/11/04/zfusovany-internet/
U některých poskytovatelů se stává, že pokud použijete jeho DNS server a zkusíte z něho získat kromě vlastní odpovědi i podpisy pro DNSSEC, tak vám je nedá. Proto je v Turrisu DNS resolver unbound, který dokáže komunikovat přímo s autoritativními servery a DNS server poskytovatele obejít.
No mne sa zda, ze s tym OpenDNS to ide rychlejsie ako s DNS od Orange, ale moze to byt moj subjektvny pocit, vedeli by sme to nejak odmerat, ze spustim nieco.... a potom tu napisem vysledky ?
google dns, urcite uz nacachovany
dns v siet lokalneho isp - nenacachovany
opakovane query - uz nacachovane
Za posledny mesiac uz 4-ty ADLS modem v nasej obci, v ktorom bolo prestavene DNS z "automaticky od poskytovatela", na nejaky "ich" zaskodnicky DNS server... Modem som zrestartoval do vyrobnych nastaveni, zadal dlhe admin heslo, zmenil vnutornu IP adresu modemu zo zvycajnych 192.168.1.1 na nejake ine cislo, presmeroval som otvorene porty (vacsinou 21, 23, 80,1724,7475,....) na neexistujucu IP adresu napr. 192.168.1.75 - vraj pouzivaju pre pristup do modemov nejaku chybu a idu cez tieto otvorene porty.... Jedna zaujimavost: V mojom PCLinuxOS som mal povodne nastavene resolv.conf na 192.168.1.1 - cize DNS modemu, no v Lubuntu je to 127.0.0.1 (alebo 1.1 uz nepamatam) - vedie si vlastné DNS záznamy a až keď nemá záznam pýta sa iného DNS servera ?
A ano, na svojom pocitaci si mozes spojadnit hocijake sluzby, i DNS server, jak to podla konfiguracii vyzera. ...
Skus zistit, ci realne bezi a ako mas nainstalovany ...
A pre zaujimavost si prectni DNS na Wikipedie.
Neviem či vypínaš router, ale môžeme sa dohovoriť, že keď budeš online pošleš mi IP na email a ja sa ti tam skúsim dostať, teda až dôveruješ :) Potom ti môžem povedať čo je zle.
192.168.1.1 je tvoja domáca sieť, čo spomínaš 127.0.0.1 to je localhost, čiže služba bežiaca priamo na tvojej mašine (virtuálna sieť).
Dobre, ked budem doma a nezabudnem, poslem mailom.
to by ma zaujimalo, preco pouzivat DNS servery od ISP je lepsie, ako napr. Google (8.8.8.8)
Ja len ze sa mi paci, ze by kazdy pocitac "viedol vlastne DNS zaznamy" a tym sa znizilo zatazenie DNS serverov a az by nemal odpoved na nejaku adresu vtedy by sa pytal toho DNS servera. Moj PCLinuxOS ma nastavene, ze sa pyta vzdy vonku na adresu, Lubuntu si vedie vlastne DNS zaznamy. Otazka je ako dlho si drzi tie zaznamy a co ak sa zmeni adresa napr. www.moja-banka.sk - nemalo by sa to diat kazdy mesiac, ale raz za cas sa moze zmenit....
Hmmm velmi zaujimavy napad. Ze ma to nenapadlo skor. Najlepsie by asi bolo pridat tie DNS zaznamy tusim do suboru /etc/hosts. Treba to ale urobit na kazdom pocitaci. Bude to pracne, ale oplati sa to. Ale neviem, ako to je napriklad s Androidom.
Ono no nerobi tie zaznamy samo, ten BIND / knotDNS ? "ze to bude pracne" ?
len si z teba robim p!cu :)
http://www.root.cz/clanky/dnssec-cast-prvni-aneb-je-potreba-zacit-od-piky/#ic=articles-related&icc=item-1
To ozaj len 10 minut si drzi server info o nazve - IP adrese !
V uzivatelskom pocitaci by to mohlo omnoho-omnoho dlhsie...
pretoze admin domeny vlada.cz to tak nastavil.
chlapce fakt ti odporucam vsetko vypnut a ist sa prejst do lesa. ved su prazdniny, treba si ich uzit. potom ked trosku vyrasties, a zacnes lepsie chapat ako tento "svet" funguje, ti to pojde vsetko lahsie...
To je mi jasne, ze sa to da nastavit na lubovolny cas, len je to podla mna malo, a ja by som dal viac. A kto da este viac ako ja ? :)
Ide len o ten konkrétny server, bežne to býva 12hodín, hoci ty ako správca domény si môžeš TTL napr. pri migrácií domény nastaviť aby sa zmeny prejavili prakticky ihneď.
problem je, ze ty nicomu, ale vobec nicomu nerozmies, ale stale bliakas, ze je vsetko zle, vymyslas somariny, atd.. zacni konecne studovat, lebo inac to pre teba nema ziadny zmysel a len ti to skodi...
To nie je zle, pre mna je to nove a chcem o tom vediet viac a viac, preto sa pytam, paci sa mi koncepcia, ze by osobny pocitc viedol vlastne DNS zaznamy, v Lubuntu to tak asi je a ja mam PCLinuxOS, tam to pyta od mojho modemu.... Zaujima ma, ak by PC mal uz neplatny zaznam od IP adrese, ako je to doriesene, ze sa to aj tak najde, citam teraz http://www.root.cz/clanky/zabezpecte-svuj-dns-server/#ic=articles-related&icc=item-2 ci sa tam nahodu nieco nespomenie, ale podla Vas by to nebolo lepsie, ak by si PC robil vlastne zaznamy a pytal sa "vonkajsich" DNS serverov az ked nieco nesedi ?
Vlastné DNS záznamy si môžeš viesť pre intranet. Ak by si chcel mať vlastný DNS server pre internet, tak by si začal spadať medzi poskytovateľov internetových služieb. A to aj keby si to poskytoval sám sebe. Možnosti ktoré tu už boli navrhované (ignorovanie DNS dodaného cez DHCP, alebo vlastný DNS caching server) ti nevyhovujú keďže sú príliš jednoduché a majú rovnakú účinnosť ako to s čím sa chceš zaoberať. A mimochodom, uniesť UDP paket a podvrhnúť odpoveď je v prípade MItM jednoduchšie ako zobrať decku lízatko. Samotný DNS bol navrhovaný na rýchlosť, a bezpečnosť moc nerieši. Tá sa k nemu dostala až s DNSSEC ktorý implementoval málo kto.
Unasania paketov sa nebojim, podla toho clanku v uvode, je to asi tak, ze oni naburaju modem, nastavia ho pre svoje poteby aj do botnetu a potom sa uz asi nestaraju a ked im ubudne jeden modem, ani si to nevsimnu, cez jeden den nazbieraju dalsie.... Ak kedze sa modemom meni aj IP adresa po kazdom novom zapnuti, nevedia to ani overit, ci je to "tento".... V nasej obci som taketo modemy riesil 3 kusy celkovo zatial, vsetko pod PC s OS Win.... A ked Ubuntu si vie viest vlastne DNS zaznamy, nevidim problem, aby to vedel aj moj PCLinuXOS, len cisto pre seba, vlastne interne zaznamy....
Takže ak Ťa správne rozumiem, tak Ti stačí informácia ako prehlásiš aby si inemal DNS záznamy z DHCP poskytnuté (napadnutým) modemom. Ak je to tak, tak riešenie si už dávno dostal.
http://petrkrcmar.blog.root.cz/2009/12/22/jak-a-k-cemu-alternativni-dns-server/
Niečo zložitejšie by nebolo?
Ja som spomínal pred vyše mesiacom (02.07 | 07:51) toto: /etc/resolvconf/resolv.conf.d/head. Vidím, že to bolo ozaj zložité. Buď si tu niekto robí srandu, alebo neviem. Škrtám si ťa.
Odpoved na predchadzajucu otazku: Ja si chcem viest vlastne DNS zaznamy, ako to robi Lubuntu.
zaregistrujes si domenu a nastavis si k nej dns server. tam si mozes viest vlastne RR...
ps: napisem ti to priamo, kludne sa uraz, mne je to jedno, ale si proste blby. dostal si tu x odpovedi, sam si tu postoval rozne clanky, ale stale si nepochopil, ako funguje dns. vravim ti, vykasli sa na to a chod robit nieco zmysluplnejsie, reps. nieco comu rozumies...